PT-2026-28602 · Clerk · @Clerk/Express+3
Highnikosdouvlis
·
Publicado
2026-03-27
·
Atualizado
2026-04-01
·
CVE-2026-34076
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
@clerk/backend versões 3.0.0 até 3.2.2
@clerk/express versões 2.0.0 até 2.0.6
@clerk/hono versões 0.1.0 até 0.1.4
@clerk/fastify versões 3.1.0 até 3.1.4
Descrição
A função
clerkFrontendApiProxy é suscetível a Server-Side Request Forgery (SSRF). Um atacante não autenticado pode manipular um caminho de requisição para fazer com que o proxy transmita a Clerk-Secret-Key da aplicação para um servidor controlado pelo atacante. A vulnerabilidade afeta aplicações que habilitaram explicitamente o recurso frontendApiProxy.Recomendações
Atualize para a versão @clerk/backend 3.2.3 ou posterior.
Atualize para a versão @clerk/express 2.0.7 ou posterior.
Atualize para a versão @clerk/hono 0.1.5 ou posterior.
Atualize para a versão @clerk/fastify 3.1.5 ou posterior.
Gire sua Chave Secreta do Clerk após a atualização.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Clerk/Backend
@Clerk/Express
@Clerk/Fastify
@Clerk/Hono